Categories
科技報導

BitDefender:成千上萬的受感染物聯網設備被用於獲利的匿名服務



Bitdefender安全研究人員在周四發布的一份報告中寫道,“星際風暴”正在使用P2P網絡,尤其是那些運行Android移動操作系統的設備。在受殭屍網絡感染的大約9000台設備中,還有運行Linux和Darwin操作系統的節點。 幕後的攻擊者主要使用它來創建可獲利的代理服務,以在Internet上隱藏其踪跡。

BitDefender:成千上萬的受感染物聯網設備被用於獲利的匿名服務 1

分發受IPStorm感染的設備(來自:BitDefender)

BitDefender研究人員收集的核心證據包括六個專用節點,作為管理基礎架構的一部分,這些節點可以:

●可以通過對其他節點執行ping操作來證明可用性的代理後端;

●可以連接到代理節點的檢查器;

●可以分發掃描和蠻力指令的管理員;

●負責託管Web API的後端接口;

●使用加密密鑰來驗證簽署授權消息的其他設備和節點;

●並指定開發節點以進行後續擴展。

此外,為了避免在惡意軟件的開發和測試階段被發現,幕後的罪魁禍首一直保持低調。 但是,BitDefender研究人員推測,這些殭屍網絡不僅可以充當代理節點,而且還可以用作匿名服務提供者。

BitDefender:成千上萬的受感染物聯網設備被用於獲利的匿名服務 2

報告屏幕截圖(來自:BitDefender)

當然,這不是BitDefender首次發現這樣的殭屍網絡。 因為早在2008年,就有各種各樣的記錄。 有趣的是,他們這次發現的匿名代理不是發佈在黑暗的網絡論壇上,而是發佈在“清晰的網絡”上。

與我們過去分析過的其他Golang惡意軟件相比,“星際風暴”模塊之間的相互作用以及libp2p構造方法的使用使其非常易於識別。

殭屍網絡背後的威脅操縱者顯然精通Golang。 一旦運行,代碼將初始化IPFS節點,然後啟動一系列輕量級線程。

這些稱為Goroutines的線程依次實現每個主要子例程。 除了一些常見功能外,它還生成一個2048位RSA密鑰對,用於IPFS節點的唯一標識。

啟動過程啟動後,IPFS網絡上的其他節點將可以訪問受控節點。 lib2p的通信組件用於節點之間。 除了匿名代理服務,還可以共享惡意二進製文件進行更新。

BitDefender:成千上萬的受感染物聯網設備被用於獲利的匿名服務 3

(GitHub屏幕截圖)

到目前為止,BitDefender已經發現了100多個代碼修訂版,這意味著IPStorm保持活躍,並且其背後的設計師都受到了極大的重視。

從大約9000種受感染的設備類型來看,其中大多數運行的是Android操作系統,只有大約1%是Linux,並且據說只有一台計算機運行達爾文。

從操作系統版本和主機/用戶名來看,BitDefender認為路由器,網絡附加存儲(NAS),機頂盒,多功能開發板和微控制器(例如Raspberry Pi)構成IPStorm殭屍網絡的主要部分。 。

總之,對於物聯網(IoT)設備的用戶,請切斷Internet,更改默認密碼,甚至在不必要時甚至直接禁用遠程管理訪問端口。